===== [Chaos CD][Datenschleuder] [24] ===== [[http://www.offiziere.ch/trust-us/ds/24/02.html|Originalartikel]] [[https://www.qgelm.de/wb2html/wb177.html|Backup]]

(aus DECBlatt)


Die Hacker, die über das SPANet unter anderem in VAX-Rechner der NASA und der ESA eingedrungen sind, hatten fremde Hilfe. Ermöglicht wurde der ganze Coup erst durch einen Hamburger Studenten, der ihnen seinen Benutzernamen samt zugehörigem Passwort nannte.

(Karikatur: Hacker inmitten von PC's am telefonieren, Fahne an der Wand "Hacker e.V.", Text daneben: "Guten Tag, hier spricht die NASA. Unser Computer ist abgestürzt. Können Sie uns vielleicht mit einer Kopie unserer Daten aushelfen?")

Angefangen hat alles in Hamburg. Auf der VAX 11/750 der dortigen Aussenstelle der EMBL (European Molecular Laboratory - Europäisches Laboratorium für Molekularbiologie) konnten die Hacker trainieren - ein Student hatte ihnen Usernamen und Passwort seines Accounts mit allen Privilegien verraten. Einmal im Besitz dieser Informationen, konnten die Hacker beliebig auf den EMBL-Rechner zugreifen.

Von Hamburg ging es weiter nach Heidelberg zr EMBL-Zentrale. Über das Netz drangen die Hacker in den dortigen Rechner, einen Cluster aus einer VAX 8600 und einer 11/785, ein. Möglich war dies nur dadurch, da× sie über eine Mailbox in den Besitz von sogenannten Patches gekommen waren, die unter anderem die Login-Prozedur verändern.

Diese Patches wiederum konnten nur funktionieren, weil die Versionen 4.4 und 4.5 des DEC-Betriebssystems VMS einen Fehler aufwiesen, der sich nun als echtes Sicherheitsrisiko entpuppte. Dieser Fehler war zumindest seit Ende des letzten Jahres bekannt. In den USA hat DEC auch reagiert und eigene Patches entwickelt,
die diese Sicherheitslücke geschlossen. In Europa allerings waren die DEC-Patches erst Mitte 1987 zu bekommen - nachdem die Hacker 135 VAXen im Forchungsnetz SPAN (Space Physics Analysis Network) geknackt hatten.

"Es hat viel zu lange gedauert, bis DEC diese Patches zur Verfügung stellen konnte", sagt Roy Omond, als Head of Computing Services zuständig für die Rechner des EMBL. "Das Technical Support Center wusste anscheinend von nichts, und die Zweigniederlassung überspielte uns Programme, die mit unserem Problem nicht das geringste zu tun hatten." Omond besorgte sich die Patches schliesslich per Mailbox von einem Kojlegen in den Niederlanden.

Roy Omond ist von dem Hacker-Coup ganz besonders betroffen. Von seinem Rechner aus "telefonierten" die Eindringlinge mit Computern in aller Welt. "Sie haben uns echtes Geld gekostet", beklagte sich der schottische System-Manager in einem weltweiten Rundschreiben an Kollegen, nachdem er, "eigentlich durch Zufall",
die Hacker in seinem System entdeckt hatte.Auf die Schliche war er ihnen gekommen, als er eines nachts an seinem System arbeitete und plötzlich einen weiteren Benutzer entdeckte. Einen Benutzer, der eigentlich gar nicht da sein konnte. Denn die Prozedur "show user" hatte nur Omond als aktuellen Benutzer ausgewiesen, die angegebene Benutzerzahl 1. Nachdem Omond den ihm unbekannten Prozess auf seinem Rechner gestoppt hatte, zeigte "show user" 0 Benutzer - obwohl der
System-Manager noch eingeloggt war. Nachdem er sich ausgeloggt hatte, war es auf einmal -1 Benutzer.

Der Trick: Die Hacker hatten nur die Login-Prozedur verändert und einen "Generalschlüssel" entwickelt; sie hatten auch jedesmal, wenn sie sich einloggten, die Benutzerzahl um eine heruntergezählt. Beim Ausloggen imkrementierten sie sie wieder. Auf diese Weise konnte ein zusätzlicher User dem System-Manager
normalerweise nicht auffallen.

Der Fehler: Die Hacker hatten die Möglichkeit übersehen, dass ein Prozess auch ohne Logout gestoppt werden kann. Ein solcher Stop aber umging die Inkrementierung der Benutzerzahl, und so konnte es zu dem seltsamen "negativen User" kommen - ein eindeutiges Zeichen dafür, dass etwas nicht stimmen konnte.

Bei seinen Nachforschungen fiel Omonds Interesse sehr schnell auf den EMBL-Rechner in Hamburg. Von dort waren in den Wochen zuvor ungewöhnlich viele lange Anrufe im Heidelberger System eingegangen. Auf der Hamburger VAX wurden schliesslich die Patches der Hacker gefunden, "Gefunden", so Omond, "haben wir auch einige Mails aus Karlsruhe, mit denen diese Patches nach Hamburg geschickt worden waren. Was uns am meisten verwundert hat, war allerdings ein kleines Programm, mit dem man sämtliche Benutzernamen sowie deren Passwörter auflisten konnte." Besonders priviligierte Benutzer wurden in diesen Listen fein säuberlich
mit einem "*" gekennzeichnet.

Das alles begab sich gegen Ende Juli. Etwa zwei Wochen vorher waren die Hacker zum ersten Mal in Omonds System gewesen. Zeit genug für sie, über den Heidelberger Rechner mehr als 130 weitere VAXen im SPANet zu knacken. Alles Systeme, die unter den Betriebssystem-Versionen 4.4 oder 4.5 liefen.

Unter diesen Systemen befand sich auch das des europäischen Kernforschungszentrums CERN in Genf, nach derzeitiger Erkenntnis das einzige System, indem die Hacker tatsächlich Schaden anrichteten. Hier wurden Daten verändert oder gelöscht. BEI CERN wird nun erwogen, rechtliche Schritte gegen die Hacker
einzuleiten. Bereits im vergangenen Jahr war CERN das Ziel von Hacker-Aktionen gewesen. Wegen dieser älteren Geschichten wurden jetzt auch die Räume des Hamburger Chaos Computer Clubs (CCC) von der Polizei durchsucht; schriftliche Unterlagen, sowie eine Reihe von Disketten wurden beschlagnahmt.

Der CCC war es auch gewesen, der den Hack im SPANet an die breite Öffentlichkeit brachte - allerdings erst, nachdem Omond die Hacker in seinem System entdeckt hatte. Die Hacker seien jedoch keine Clubmitglieder gewesen, beteuerte der CCC. Sie hätten sich lediglich an den Club gewandt, als ihnen die Sache zu heiss geworden sei.

Der CCC bestreitet energisch, dass in irgendeinem betroffenem System Schäden angerichtet wurden. Vorstandsmitglied Reinhard Schrutzki zum DECKBLATT: "Wir hätten uns niemals zum Sprachrohr dieser Hacker gemacht, wenn es solche Schäden gegeben hätte. Die Hacker haben allerdings in verschiedenen Datenbeständen "gewühlt" - Dokumentationen darüber liegt uns vor."

Das deutsche Strafrecht sieht für solche "elektronische Einbrüche" bis zu drei Jahren Freiheitsstrafe vor. Es gestaltet sich allerdings in der Praxis ausgesprochen schwierig, einzelnen Personen solche Straftaten zweifelsfrei nachzuweisen. (th)


Netzvermerk: 8710281654 8711 BBPR.DCB Andy, Ls 16
(CLINCH:DATENREISEN&DFUENEWS)